Ein IT-Sachverständiger analysiert technische Sachverhalte und erstellt Gutachten, die als Entscheidungsgrundlage für Gerichte, Versicherungen und Unternehmen dienen. Er prüft, ob IT-Systeme vertragsgemäß funktionieren, ermittelt Ursachen von IT-Schäden und beziffert die entstandene Schadenshöhe. In Österreich wird ein allgemein beeideter und gerichtlich zertifizierter Sachverständiger nach dem Sachverständigen- und Dolmetschergesetz (SDG) bestellt.
Ein IT-Sachverständiger wird typischerweise benötigt, wenn ein IT-Projekt gescheitert ist und die Schuldfrage geklärt werden muss, wenn nach einem Cyberangriff der Schaden gegenüber der Versicherung dokumentiert werden muss, wenn ein Streit mit einem IT-Dienstleister eskaliert oder wenn ein Gericht eine technische Beweisfrage klären lassen will. Auch bei der Bewertung von IT-Infrastrukturen im Rahmen von Unternehmenskäufen wird ein Sachverständiger hinzugezogen.
Die Dauer hängt von der Komplexität des Falls ab. Ein einfaches Gutachten zur Prüfung einer Softwarefunktionalität kann in zwei bis vier Wochen erstellt werden. Bei komplexen Fällen wie gescheiterten ERP-Projekten oder umfangreichen Cyberangriff-Analysen sind drei bis sechs Monate realistisch. Eine forensische Ersteinschätzung nach einem Cyberangriff kann innerhalb weniger Tage erfolgen.
Bei gerichtlichen Gutachten richtet sich die Vergütung nach dem Gebührenanspruchsgesetz (GebAG), das Stundensätze je nach Fachgebiet und Schwierigkeitsgrad vorsieht. Bei Privatgutachten werden die Kosten frei vereinbart und hängen vom Umfang der Untersuchung ab. Für ein erstes unverbindliches Gespräch zur Aufwandsschätzung fallen in der Regel keine Kosten an.
Nach einem Cyberangriff sichert der IT-Sachverständiger die digitalen Beweise (forensische Images, Logfiles, Arbeitsspeicher), rekonstruiert den Angriffsweg und den zeitlichen Ablauf, dokumentiert den Schaden und erstellt ein Gutachten für die Versicherung, das Gericht oder die Strafverfolgungsbehörden. Idealerweise wird er parallel zur Incident Response eingebunden, bevor die Wiederherstellung die Spuren vernichtet.
Die Haftung bei einer gescheiterten ERP-Einführung ist selten einseitig. In den meisten Fällen tragen beide Seiten eine Mitverantwortung: Der Auftragnehmer für die fachgerechte Umsetzung, der Auftraggeber für seine Mitwirkungspflichten wie Ressourcenbereitstellung, rechtzeitige Entscheidungen und Testbeteiligung. Ein IT-Sachverständiger ermittelt den jeweiligen Verantwortungsanteil auf Basis der Projektdokumentation und des tatsächlichen Systemzustands.
Ein Gerichtsgutachten wird vom Gericht in Auftrag gegeben und ist ein eigenständiges Beweismittel im Verfahren. Ein Privatgutachten wird von einer Partei beauftragt und gilt als qualifiziertes Parteivorbringen, das vom Gericht gewürdigt werden muss. Der Vorteil eines Privatgutachtens liegt in der Geschwindigkeit: Es kann vor einem Verfahren erstellt werden und gibt der Partei vorab Klarheit über die Stärke ihrer Position.
Der Sachverständige analysiert den Vertrag und die SLAs, wertet Monitoring-Daten und Ticketsysteme aus und vergleicht die vereinbarte mit der tatsächlich erbrachten Leistung. Er prüft insbesondere, ob SLA-Verletzungen vorlagen, ob die Leistungsabgrenzung klar war und ob der IT-Dienstleister den Stand der Technik eingehalten hat. Bei fehlender Leistungsbeschreibung stützt er sich auf branchenübliche Standards wie ITIL oder ISO 27001.
Ja, ein IT-Sachverständiger kann außergerichtlich als neutraler Fachexperte eingesetzt werden, um eine objektive Faktenbasis für Vergleichsverhandlungen zu schaffen. Viele IT-Streitigkeiten werden so ohne Gerichtsverfahren gelöst. Der Sachverständige ersetzt dabei nicht den Mediator oder Anwalt, sondern liefert die technische Grundlage, auf der eine Einigung möglich wird.
Der Sachverständige analysiert die Vertragsunterlagen (Lastenheft, Pflichtenheft, Änderungsanträge), testet die tatsächliche Funktionalität der gelieferten Software, vergleicht Soll- und Ist-Zustand und prüft die Projektdokumentation auf Pflichtverletzungen beider Seiten. Er ermittelt, ob die Ursache beim Auftragnehmer (fehlerhafte Umsetzung), beim Auftraggeber (unzureichende Mitwirkung) oder bei beiden liegt.
Das Lastenheft beschreibt, WAS der Auftraggeber braucht – es enthält die fachlichen Anforderungen aus Kundensicht, lösungsneutral formuliert. Das Pflichtenheft beschreibt, WIE der Auftragnehmer die Anforderungen umsetzen will – es wird vom IT-Dienstleister erstellt und enthält die konkrete technische Lösung. Nach Freigabe durch den Auftraggeber wird das Pflichtenheft zum verbindlichen Vertragsbestandteil.
Fehlt eine formale Spezifikation, rekonstruiert der Sachverständige den vertraglichen Leistungsumfang aus allen verfügbaren Quellen: Angeboten, E-Mails, Besprechungsprotokollen, Schulungsunterlagen und der Software selbst. Zusätzlich kann er auf § 922 ABGB zurückgreifen, der die „gewöhnlich vorausgesetzte Verwendung“ als Maßstab heranzieht. Die Beweislage ist in solchen Fällen schwächer, aber eine Bewertung ist grundsätzlich möglich.
Ein forensisches Image ist eine bitgenaue Kopie eines gesamten Datenträgers, die den exakten Zustand zum Zeitpunkt der Sicherung bewahrt. Im Gegensatz zu einer normalen Kopie erfasst es auch gelöschte Dateien, freien Speicherplatz und versteckte Bereiche. Die Integrität wird durch kryptografische Hashwerte (SHA-256) gesichert, sodass jede nachträgliche Veränderung erkennbar wäre. Forensische Images sind die Grundlage einer gerichtsfesten Beweissicherung.
Die Schadensermittlung umfasst vier Kategorien: direkte IT-Kosten (Forensik, Wiederherstellung, Neubeschaffung), Betriebsunterbrechungsschaden (Ertragsausfall während des Stillstands), Datenverlustschaden (Wiederherstellungsaufwand und Folgen unwiederbringlicher Datenverluste) und Folge-/Drittschäden (DSGVO-Meldungen, Vertragsstrafen, Reputationsschaden). Der Betriebsunterbrechungsschaden ist dabei in der Regel der größte Einzelposten.
Die Wiederherstellungsdauer hängt vom Umfang der Verschlüsselung, der Qualität der Backups und der Komplexität der IT-Infrastruktur ab. In der Praxis dauert es bei mittelständischen Unternehmen typischerweise eine bis vier Wochen, bis die Kernprozesse wieder laufen, und mehrere Monate, bis alle Systeme vollständig wiederhergestellt und gehärtet sind. Die Dokumentation des genauen Zeitverlaufs ist entscheidend für die Berechnung des Betriebsunterbrechungsschadens.
Die flüchtigsten Beweise sind Arbeitsspeicherinhalte (gehen bei jedem Neustart verloren), aktive Netzwerkverbindungen, laufende Prozesse und temporäre Dateien. Logfiles werden durch den laufenden Betrieb oder durch automatische Rotation überschrieben. Cloud-Zugänge können gesperrt werden, und Backups können durch die Wiederherstellungsmaßnahmen selbst überschrieben werden. Deshalb muss die Beweissicherung parallel zur Incident Response beginnen.
Der IT-Gutachter dokumentiert für die Versicherung den Angriffsvektor (wie der Angreifer eingedrungen ist), den zeitlichen Ablauf, den technischen und wirtschaftlichen Schaden, die Einhaltung der vertraglichen Obliegenheiten und die Kausalitätskette zwischen Angriff und Schaden. Dieses Gutachten bildet die Grundlage für die Schadensregulierung und kann Leistungskürzungen durch den Versicherer verhindern.
Obliegenheiten sind vertragliche Pflichten des Versicherungsnehmers, deren Einhaltung Voraussetzung für den vollen Versicherungsschutz ist. Typische IT-Obliegenheiten sind regelmäßige Datensicherungen, zeitnahes Patch-Management, Multi-Faktor-Authentifizierung, Netzwerksegmentierung und Mitarbeiterschulungen. Bei grob fahrlässiger Verletzung kann der Versicherer die Leistung kürzen, bei vorsätzlicher Verletzung vollständig verweigern.
Fehlende Multi-Faktor-Authentifizierung kann eine Obliegenheitsverletzung darstellen, die zur Leistungskürzung berechtigt. Entscheidend ist jedoch der Kausalitätsgegenbeweis: Wenn der Angriff nachweislich nicht über den ungesicherten Zugang erfolgte, sondern etwa über eine Phishing-E-Mail, war die fehlende MFA nicht ursächlich für den Schaden. Ein IT-Sachverständiger kann diese Kausalitätsanalyse liefern und so die Position des Versicherungsnehmers stärken.
Der Forensiker der Versicherung arbeitet im Auftrag der Versicherung, nicht in Ihrem Auftrag. Seine Untersuchung kann Schwachstellen aufdecken, die die Versicherung als Obliegenheitsverletzung wertet. Ein eigener Sachverständiger stellt sicher, dass die Dokumentation Ihre Interessen angemessen berücksichtigt und dass Ihre Position bei der Schadensregulierung auf einer fundierten technischen Grundlage steht.
Bei Datenverlust kommen mehrere Haftungsebenen in Betracht: die Geschäftsführung (Organisationsverantwortung für IT-Sicherheit), der IT-Dienstleister (wenn Backup-Management vertraglich geschuldet war), das Unternehmen selbst (Mitverschulden bei fehlender eigener Datensicherung) und die DSGVO-Haftung bei personenbezogenen Daten. Der IT-Sachverständige ermittelt, wer welche Pflicht verletzt hat und in welchem Umfang die Pflichtverletzung zum Schaden beigetragen hat.
Ja, die Geschäftsführung trägt die Sorgfaltspflicht für angemessene IT-Sicherheit im Unternehmen. In Österreich ergibt sich das aus § 25 GmbHG und Art. 32 DSGVO. Das OLG Dresden hat 2021 erstmals einen Geschäftsführer als eigenständigen datenschutzrechtlichen Verantwortlichen eingestuft und persönlich haftbar gemacht. Durch das NISG 2026 (NIS2-Umsetzung) wird die persönliche Haftung der Leitungsorgane für Cybersicherheitsmaßnahmen zusätzlich verschärft.
Wenn die Datensicherung zum Kernbereich der vertraglichen Leistung gehört, handelt es sich um eine Kardinalpflicht, deren Verletzung nicht wirksam per AGB ausgeschlossen werden kann. Zulässig ist jedoch eine Beschränkung der Haftung auf den Aufwand, der für die Wiederherstellung anhand vorhandener Sicherungskopien erforderlich ist. Die konkrete Wirksamkeit einer Haftungsbeschränkungsklausel muss im Einzelfall geprüft werden.
Das Beweissicherungsverfahren nach §§ 384–389 ZPO (Österreich) ist ein gerichtliches Verfahren, mit dem Beweise vor einem Hauptverfahren gesichert werden können. Das Gericht ordnet die Beweissicherung an und bestellt einen Sachverständigen, der den aktuellen Zustand aufnimmt (Befundaufnahme). Voraussetzung ist ein rechtliches Interesse und die glaubhaft gemachte Gefahr, dass die Beweise ohne Sicherung verloren gehen könnten.
Die wichtigsten Grundsätze sind: forensische Images statt einfacher Kopien erstellen, Hashwerte (SHA-256) zur Integritätssicherung berechnen, jeden Arbeitsschritt protokollieren (Datum, Uhrzeit, Person, Werkzeug, Maßnahme) und die Vier-Augen-Regel bei der Sicherung einhalten. Die Reihenfolge richtet sich nach der Flüchtigkeit der Daten: zuerst Arbeitsspeicher und Netzwerkverbindungen, dann Massenspeicher, dann externe Medien.
Das NISG 2026 ist die österreichische Umsetzung der europäischen NIS2-Richtlinie, beschlossen am 12. Dezember 2025. Es tritt am 1. Oktober 2026 in Kraft und betrifft über 5.000 Unternehmen in Österreich direkt sowie schätzungsweise 50.000 weitere als Lieferanten und Dienstleister. Betroffen sind mittlere und große Unternehmen in 18 Sektoren, darunter Energie, Gesundheit, Transport und digitale Infrastruktur.
Die NIS2-Meldepflicht ist dreistufig: Innerhalb von 24 Stunden nach Erkennung muss eine Frühwarnung an das CSIRT (in Österreich: CERT.at) erfolgen. Binnen 72 Stunden ist eine erste Einschätzung des Vorfalls zu übermitteln. Innerhalb eines Monats ist ein Zwischen- oder Abschlussbericht mit detaillierter Beschreibung vorzulegen. Bei personenbezogenen Daten läuft parallel die DSGVO-Meldepflicht an die Datenschutzbehörde.
Für wesentliche Einrichtungen drohen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent. Zusätzlich kann die Cybersicherheitsbehörde verbindliche Anweisungen erteilen, bei wesentlichen Einrichtungen die Tätigkeit vorübergehend aussetzen und Leitungsorgane persönlich für Verstöße haftbar machen.
Ja, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt und ein Risiko für die Rechte der betroffenen Personen besteht, muss gemäß Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung an die österreichische Datenschutzbehörde erfolgen. Bei hohem Risiko müssen auch die betroffenen Personen benachrichtigt werden (Art. 34 DSGVO). Ein IT-Sachverständiger kann feststellen, ob und welche personenbezogenen Daten tatsächlich betroffen waren.
Ein IT-Sachverständiger kann die aktuelle IT-Sicherheitslage des Unternehmens objektiv bewerten, Lücken gegenüber den NIS2-Anforderungen identifizieren und die Ergebnisse in einer Form dokumentieren, die als Nachweis gegenüber der Cybersicherheitsbehörde dient. Im Vorfallsfall liefert er die forensische Analyse und Dokumentation, die für die mehrstufige Meldepflicht und einen möglichen Abschlussbericht benötigt wird.
